網上投稿
隨著法規(guī)建設和監(jiān)管體系的日趨完善, 無論是從監(jiān)管的角度, 亦或擬上市企業(yè)的角度, 尤其是對于那些具備大量網絡數(shù)據(jù)或個人信息的企業(yè), 其上市過程中的網絡安全和數(shù)據(jù)合規(guī)問題被愈發(fā)重視。尤其在近一年多企業(yè)境外上市的熱潮中,無論是本所服務的境外上市企業(yè), 還是市場公開項目, 越來越多的企業(yè)在境外上市過程中聘請專業(yè)的數(shù)據(jù)合規(guī)顧問處理復雜的網絡安全和數(shù)據(jù)合規(guī)問題。
本文作為“企業(yè)境外上市中的網絡安全和數(shù)據(jù)合規(guī)問題”系列文章的第二篇, 旨在總結本所“企業(yè)境外上市數(shù)據(jù)合規(guī)小組”過往諸多項目實務經驗, 梳理企業(yè)境外上市過程中涉及的網絡安全審查和數(shù)據(jù)出境合規(guī)要點, 以供相關企業(yè)或境外上市中介機構參考。
第一部分 境外上市中的網絡安全審查
一、觸發(fā)網絡安全審查的情形
目前, 我國有關網絡安全審查制度及具體實施要求主要由《網絡安全法》《網絡安全審查辦法》規(guī)制。根據(jù)網絡安全審查工作機制成員單位[1]是否主動發(fā)起審查, 網絡安全審查的觸發(fā)情形可被區(qū)分為兩類, 分別為依申報審查和依職權審查。
1. 依申報審查
依申報審查是指在符合以下任一情形時, 由當事人按照《網絡安全審查辦法》進行網絡安全審查自主申報:
(1)關鍵信息基礎設施運營者(“CIIO”)采購網絡產品和服務, 影響或者可能影響國家安全的;
(2)網絡平臺運營者開展數(shù)據(jù)處理活動, 影響或者可能影響國家安全的(此處的“數(shù)據(jù)處理活動”指網絡數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動);
(3網絡平臺運營者掌握超過100萬用戶個人信息, 且赴國外上市。
根據(jù)《關鍵信息基礎設施安全保護條例》, CIIO是指“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的, 以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露, 可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)”。重要行業(yè)和領域的主管部門、監(jiān)督管理部門將會自行認定運營者是否系CIIO并予以通知, 運營者無需進行自行判斷; 換言之, 若企業(yè)未曾收到監(jiān)管機構認定其構成或可能構成關鍵信息基礎設施運營者的通知, 則可認為企業(yè)不屬于關鍵信息基礎設施運營者, 有關關鍵信息基礎設施運營者的網絡安全審查申報義務不適用于該企業(yè)。
此外,《網絡安全審查辦法》及相關法律法規(guī)中并未對“網絡平臺運營者”作出明確定義, 企業(yè)需要結合業(yè)務內容和數(shù)據(jù)處理活動內容來進行實質判斷, 實踐中, 通過互聯(lián)網平臺方式向大量C端個人消費者提供商品或服務的企業(yè)具有不小概率會被認定為“網絡平臺運營者”, 常見的如從事電子商務、居民生活服務、互聯(lián)網零售等業(yè)務的企業(yè)。
2. 依職權審查
網絡安全審查工作機制成員單位認為影響或者可能影響國家安全的網絡產品和服務以及數(shù)據(jù)處理活動, 由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后, 根據(jù)其職權主動發(fā)起網絡安全審查。
二、境外上市過程中的網絡安全審查
國家互聯(lián)網信息辦公室在《網絡安全審查辦法》答記者中明確指出, 網絡平臺運營者在向國外證券監(jiān)管機構正式提出上市申請之前申報網絡安全審查, 尤其是當其業(yè)務涉及國家安全等重要領域時。這一要求旨在確保國家網絡安全不受境外上市活動的影響。此外, 在境外上市的相關申報文件準備過程中, 企業(yè)和中介機構還需在提交給中國證監(jiān)會的文件中, 詳細說明是否已經涉及并履行了相應的安全審查程序, 以確保所有流程符合國家相關法律法規(guī)的要求。
在實踐中, 擬境外上市的企業(yè)除了需要初步梳理和掌握其已收集和處理的個人信息數(shù)量及具體情況外, 中介機構也會積極協(xié)助企業(yè)進行更為深入和全面的梳理工作。這一步驟的目的是為了進一步分析和評估企業(yè)是否具備充分的內部、外部依據(jù)確認自身是否需要進行網絡安全審查申報。例如, 雖然“赴香港上市”明確不屬于《網絡安全審查辦法》第七條中規(guī)定的“赴國外上市”, 但企業(yè)還可以通過向中國網絡安全審查認證和市場監(jiān)管大數(shù)據(jù)中心(簡稱“CCRC”)進行咨詢, 確認其境外上市是否屬于《網絡安全審查辦法》第七條規(guī)定的應當進行網絡安全審查申報的情形, 從而借助官方意見對自身是否需要進行網絡安全審查申報予以明確。盡管《網絡數(shù)據(jù)安全管理條例(征求意見稿)》曾將“數(shù)據(jù)處理者赴香港上市, 影響或者可能影響國家安全的”列為應當申報網絡安全審查的情形, 但今年1月1日最終生效的《網絡數(shù)據(jù)安全管理條例》已將該情形刪除。
第二部分 境外上市中的數(shù)據(jù)出境合規(guī)
一、重要數(shù)據(jù)出境
《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第七條規(guī)定, 針對重要數(shù)據(jù)出境, 無論是CIIO或除CIIO外的數(shù)據(jù)處理者均需要通過所在地省級網信部門向國家網信部門申報數(shù)據(jù)出境安全評估。對于確需出境的重要數(shù)據(jù), 經數(shù)據(jù)出境安全評估認為不會危害國家安全和社會公共利益的, 方可出境。
企業(yè)確保重要數(shù)據(jù)出境合規(guī)的前提是準確識別重要數(shù)據(jù)。《網絡數(shù)據(jù)安全管理條例》規(guī)定, 重要數(shù)據(jù)的范圍由相關地區(qū)、行業(yè)部門的監(jiān)管部門確定。目前實踐中對于重要數(shù)據(jù)的確認主要由幾種途徑: (1)部分行業(yè)、領域數(shù)據(jù)分類分級標準規(guī)范和重要數(shù)據(jù)識別申報規(guī)則已經公開發(fā)布, 如工業(yè)領域的《工業(yè)領域重要數(shù)據(jù)識別指南》、電信領域的《電信領域重要數(shù)據(jù)識別指南》、自然資源領域的《地理信息數(shù)據(jù)分類分級工作指南(試行)》、統(tǒng)計領域的《統(tǒng)計數(shù)據(jù)安全管理辦法》等; (2)此外, 還有主管部門通過召開會議、制發(fā)文件、一對一通知等形式告知到數(shù)據(jù)處理者。
和“關鍵信息基礎設施運營者”的認定邏輯類似, 《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第2條規(guī)定, 數(shù)據(jù)處理者應當按照相關規(guī)定識別、申報重要數(shù)據(jù); 未被相關部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的, 數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。國家互聯(lián)網信息辦公室發(fā)布的《數(shù)據(jù)出境安全管理政策問答(2025年5月)》也曾對此特別予以說明, 即如果相關行業(yè)沒有發(fā)布行業(yè)、領域的數(shù)據(jù)分類分級標準規(guī)范和重要數(shù)據(jù)識別申報規(guī)則, 數(shù)據(jù)處理者也沒有被有關部門告知應當進行重要數(shù)據(jù)識別申報的, 數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)安全評估, 相關數(shù)據(jù)出境活動不會被認定為違反違規(guī)出境重要數(shù)據(jù), 不會因此受到行政處罰。如果數(shù)據(jù)處理者掌握的數(shù)據(jù)公開發(fā)布或被告知為重要數(shù)據(jù)后, 繼續(xù)開展數(shù)據(jù)出境活動的, 應當在數(shù)據(jù)公開發(fā)布或被告知后2個月內, 及時履行數(shù)據(jù)出境安全評估。
二、個人信息出境
根據(jù)《個人信息保護法》第三十八條的規(guī)定, 個人信息處理者因業(yè)務等需要, 確需向中華人民共和國境外提供個人信息的, 應當具備下列條件之一:
(1)依照《個人信息保護法》第四十條的規(guī)定通過國家網信部門組織的安全評估;
(2)按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證;
(3)按照國家網信部門制定的標準合同與境外接收方訂立合同, 約定雙方的權利和義務;
(4)法律、行政法規(guī)或者國家網信部門規(guī)定的其他條件。
中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的, 可以按照其規(guī)定執(zhí)行。
據(jù)此, 根據(jù)個人信息出境的類型和情形不同, 對于個人信息出境的監(jiān)管類型可區(qū)分為豁免、與接收方訂立個人信息出境標準合同、通過個人信息保護認證和數(shù)據(jù)出境安全評估。
同時, 《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》允許自由貿易試驗區(qū)在國家數(shù)據(jù)分類分級保護制度框架下, 自行制定區(qū)內需要納入數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數(shù)據(jù)清單(“負面清單”), 經省級網絡安全和信息化委員會批準后, 報國家網信部門、國家數(shù)據(jù)管理部門備案。截至目前, 天津、北京、上海、海南和浙江的自貿區(qū)已制定負面清單, 就具體行業(yè)和數(shù)據(jù)出境場景進行細化規(guī)定。
三、其他數(shù)據(jù)出境的監(jiān)管豁免情形
除上文表格所述的“自當年1月1日起累計向境外提供不滿10萬人個人信息”屬于豁免監(jiān)管的數(shù)據(jù)出境情形外, 根據(jù)《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》之規(guī)定, 如下情形亦在豁免之列:
1.國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數(shù)據(jù)向境外提供, 且不包含個人信息或者重要數(shù)據(jù)的;
2.數(shù)據(jù)處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供, 處理過程中沒有引入境內個人信息或者重要數(shù)據(jù)的;
3.為訂立、履行個人作為一方當事人的合同, 如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等, 確需向境外提供個人信息的;
4.按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理, 確需向境外提供員工個人信息的(企業(yè)對于自身相關行為是否屬于“跨境人力資源管理”行為存在疑義的, 可通過中介機構咨詢相關主管部門意見);
5.緊急情況下為保護自然人的生命健康和財產安全, 確需向境外提供個人信息的。
結語
我們期望本文的梳理能夠幫助相關方更迅速地了解企業(yè)境外上市過程中面臨的網絡安全審查和數(shù)據(jù)出境合規(guī)要點及其應對策略。隨著國際地緣博弈不斷加劇, 在當下及未來較長一段時間內, 可以預見各方對網絡安全和數(shù)據(jù)出境的重視將不斷加強; 加之國內網絡安全和數(shù)據(jù)合規(guī)監(jiān)管體系亦在不斷動態(tài)更新或完善之中, 企業(yè)及相關專業(yè)機構應不斷跟蹤學習, 了解監(jiān)管動態(tài), 和主管部門進行適時溝通, 從而以最高效的方式應對企業(yè)境外上市過程中的相關合規(guī)風險。
[1] 指國家互聯(lián)網信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局十三家成員單位。
[2] 所謂“個人信息”, 是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息, 不包括匿名化處理后的信息。此處匿名化處理是指經過處理無法識別特定自然人且不能復原的過程。
[3] 所謂“敏感個人信息”是指一旦泄露或者非法使用, 容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息, 包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息, 以及不滿十四周歲未成年人的個人信息。
【文章僅代表作者本人觀點, 不代表通力律師事務所的法律意見或建議。我們明示不對任何依賴該等文章的任何內容而采取或不采取行動所導致的后果承擔責任。】
滬公網安備 31010402007129號
